工業(yè)網(wǎng)絡(luò)安全防護(hù)與態(tài)勢感知技術(shù)研究及應(yīng)用

摘要：針對工業(yè)互聯(lián)網(wǎng)當(dāng)前不斷發(fā)展的趨勢，以及安全方面存在的不確定性與不可預(yù)測性，本文聚焦工業(yè)場景網(wǎng)絡(luò)安全，旨在探索通過態(tài)勢感知綜合分析工業(yè)網(wǎng)絡(luò)安全防護(hù)體系，并利用人工智能、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)方法，開展工業(yè)異構(gòu)網(wǎng)絡(luò)態(tài)勢海量數(shù)據(jù)安全分析與持續(xù)性威脅攻擊發(fā)現(xiàn)，形成全方位安全態(tài)勢感知技術(shù)，為工業(yè)異構(gòu)網(wǎng)絡(luò)的態(tài)勢獲取、態(tài)勢理解和態(tài)勢預(yù)測提供框架支撐，以應(yīng)對工業(yè)網(wǎng)絡(luò)未來安全挑戰(zhàn)。

關(guān)鍵詞：工業(yè)網(wǎng)絡(luò)安全防護(hù)；態(tài)勢感知技術(shù)；全流量威脅檢測

引言

當(dāng)前，新一代信息技術(shù)正迅速向制造業(yè)滲透，產(chǎn)業(yè)經(jīng)濟(jì)數(shù)字化轉(zhuǎn)型已是大勢所趨，制造業(yè)正加速向數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展，工業(yè)網(wǎng)絡(luò)成為制造業(yè)的重要組成部分。工業(yè)系統(tǒng)的高價值性導(dǎo)致針對工業(yè)網(wǎng)絡(luò)的定向攻擊增多，內(nèi)生安全風(fēng)險與外部風(fēng)險交織并存，網(wǎng)絡(luò)安全事件頻發(fā)，工業(yè)網(wǎng)絡(luò)安全形勢日益復(fù)雜嚴(yán)峻。同時，《中華人民共和國網(wǎng)絡(luò)安全法》[1]的發(fā)布將網(wǎng)絡(luò)安全監(jiān)測預(yù)警要求提高至法律層面，《信息安全技術(shù)——網(wǎng)絡(luò)安全等級保護(hù)基本要求（GB/T 22239-2019）》[2]首次將工控安全和態(tài)勢感知等列入覆蓋范圍?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》[3]明確提出，要及時掌握關(guān)鍵信息基礎(chǔ)設(shè)施安全態(tài)勢等，對工業(yè)網(wǎng)絡(luò)的全方位安全態(tài)勢感知是當(dāng)前工業(yè)網(wǎng)絡(luò)安全的首要任務(wù)。

1. 國內(nèi)外現(xiàn)狀及趨勢

美國、英國、歐洲等國家和地區(qū)紛紛強(qiáng)化網(wǎng)絡(luò)安全建設(shè)，出臺相關(guān)戰(zhàn)略規(guī)劃，以立法推動零信任、人工智能技術(shù)等網(wǎng)絡(luò)安全新興技術(shù)研發(fā)，同時進(jìn)一步完善網(wǎng)絡(luò)安全機(jī)構(gòu)體系，加速提升科研實(shí)力，提高自身“造血”能力。美國正在大力研發(fā)網(wǎng)絡(luò)主動防御、網(wǎng)絡(luò)彈性與機(jī)動、網(wǎng)絡(luò)態(tài)勢感知分析等網(wǎng)絡(luò)安全技術(shù)。在人工智能融合網(wǎng)絡(luò)安全等技術(shù)領(lǐng)域中，很多科技創(chuàng)新成果已經(jīng)取得突破性進(jìn)展，未來將對軍工裝備發(fā)展和軍事產(chǎn)生深遠(yuǎn)的影響，值得高度關(guān)注。例如，美國防高級研究計(jì)劃局開展的“快速攻擊檢測、隔離和特征識別系統(tǒng)”（RADICS）研發(fā)項(xiàng)目，與國土安全部、能源部、國民警衛(wèi)隊(duì)和電力公司開展合作，利用人工智能來解決電網(wǎng)網(wǎng)絡(luò)安全問題，在電網(wǎng)發(fā)生網(wǎng)絡(luò)攻擊時實(shí)現(xiàn)“黑啟動”恢復(fù)[4]。

《“十四五”國家信息化規(guī)劃》明確指出，“全面加強(qiáng)網(wǎng)絡(luò)安全保障體系和能力建設(shè)”。要“完善網(wǎng)絡(luò)安全監(jiān)測、通報預(yù)警、應(yīng)急響應(yīng)與處理機(jī)制，提升網(wǎng)絡(luò)安全態(tài)勢感知、事件分析以及快速恢復(fù)能力”[5]。黨中央的指導(dǎo)方針、政策法規(guī)、重要論述和指示，都為網(wǎng)絡(luò)安全感知預(yù)警的發(fā)展提供了堅(jiān)實(shí)的基礎(chǔ)和動力，但部分關(guān)鍵核心技術(shù)自主可控能力還存在不足。對此，需要加大網(wǎng)絡(luò)安全關(guān)鍵核心技術(shù)研發(fā)力度，鼓勵自主創(chuàng)新研發(fā)關(guān)鍵技術(shù)和國產(chǎn)化替代產(chǎn)品，集中國家優(yōu)勢資源，克服網(wǎng)絡(luò)安全核心技術(shù)瓶頸，加快擺脫網(wǎng)絡(luò)安全產(chǎn)品技術(shù)依賴國外的現(xiàn)狀，提高我國網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品自主可控能力。

2. 工業(yè)網(wǎng)絡(luò)安全防護(hù)體系

本文圍繞工業(yè)網(wǎng)絡(luò)終端系統(tǒng)、云計(jì)算平臺、數(shù)據(jù)系統(tǒng)、應(yīng)用系統(tǒng)、運(yùn)維使用等系統(tǒng)相關(guān)部分的安全防護(hù)，綜合應(yīng)用大數(shù)據(jù)融合處理、安全智能分析決策等先進(jìn)技術(shù)，提出工業(yè)互聯(lián)網(wǎng)安全防護(hù)技術(shù)體系架構(gòu)，采用多域聯(lián)防聯(lián)動的動態(tài)防御思想，從統(tǒng)一安全管理、安全服務(wù)、安全策略控制、系統(tǒng)審計(jì)、預(yù)警監(jiān)測、應(yīng)急響應(yīng)、快速恢復(fù)、動態(tài)響應(yīng)八個方面構(gòu)建網(wǎng)絡(luò)安全的防護(hù)體系，形成全方位網(wǎng)絡(luò)安全動態(tài)防御安全體系，有效抵御各種安全威脅，可為工業(yè)網(wǎng)絡(luò)安全防護(hù)建設(shè)提供借鑒參考，安全防護(hù)技術(shù)體系架構(gòu)如圖1所示。

3. 關(guān)鍵技術(shù)分析

3.1 工業(yè)網(wǎng)絡(luò)流量采集提取存儲

針對工業(yè)異構(gòu)網(wǎng)絡(luò)數(shù)據(jù)接入流量巨大、協(xié)議種類繁多、鏈路層次復(fù)雜等現(xiàn)狀，利用協(xié)議識別和協(xié)議分析技術(shù)對網(wǎng)絡(luò)流量進(jìn)行解析處理，提取網(wǎng)絡(luò)元數(shù)據(jù)、還原網(wǎng)絡(luò)報文數(shù)據(jù)，根據(jù)上級系統(tǒng)下發(fā)的任務(wù)參數(shù)對原始流量進(jìn)行多維度的數(shù)據(jù)匹配，實(shí)現(xiàn)數(shù)據(jù)的按需分流和按需存儲。

首先，對工業(yè)網(wǎng)絡(luò)流量進(jìn)行接入和實(shí)時采集，基于端點(diǎn)、協(xié)議、時間多重元組，將端點(diǎn)間構(gòu)建的臨時通信通道所傳輸?shù)乃袛?shù)據(jù)包組合到相同的會話，將亂序數(shù)據(jù)進(jìn)行有序整理，實(shí)現(xiàn)流重組。采用端口檢測、協(xié)議規(guī)則驗(yàn)證以及協(xié)議指紋匹配等技術(shù)手段，根據(jù)網(wǎng)絡(luò)數(shù)據(jù)報文內(nèi)容對數(shù)據(jù)包協(xié)議進(jìn)行識別。對原始數(shù)據(jù)包進(jìn)行格式解析，并可導(dǎo)入安全證書，基于證書對HTTPS流量進(jìn)行解析。

其次，對數(shù)據(jù)進(jìn)行整合、清洗和摘要提取處理，降低后續(xù)處理過程中的數(shù)據(jù)量和干擾信息，對DNS、HTTP、HTTPS數(shù)據(jù)進(jìn)行協(xié)議還原，提取協(xié)議中請求和對應(yīng)響應(yīng)的關(guān)鍵信息，如請求域名、回應(yīng)地址、SSL證書等。

最后，引入全協(xié)議索引棧技術(shù)，采用分層、分級索引構(gòu)建，實(shí)現(xiàn)對基礎(chǔ)元組數(shù)據(jù)的快速檢索，解決大數(shù)據(jù)量下的基于多種元素的快速過濾、挖掘等問題，對存儲資源進(jìn)行實(shí)時監(jiān)控和有效利用，在存儲空間已滿的情況下通過回滾利用的方式確保對新采集數(shù)據(jù)的存儲。

3.2 工業(yè)網(wǎng)絡(luò)流量目標(biāo)特征篩選

針對工業(yè)異構(gòu)網(wǎng)絡(luò)全鏈路屬性靈活篩選匹配，對威脅目標(biāo)的多維度刻畫，在海量數(shù)據(jù)中精準(zhǔn)發(fā)現(xiàn)。

首先，在上述流量采集與存儲完成流量數(shù)據(jù)的索引構(gòu)建和有序存儲的基礎(chǔ)上，通過無級迭代可基于規(guī)則完成對流量數(shù)據(jù)的逐級篩選，快速提取重點(diǎn)目標(biāo)特定流量。其次，通過快照可視化組件對每一個分析節(jié)點(diǎn)狀態(tài)的持久化保存，不僅能夠做到分析思路可視化，而且能夠隨時回歸到迭代分析過程中的任意節(jié)點(diǎn)，基于該節(jié)點(diǎn)當(dāng)時的狀態(tài)繼續(xù)分析或?qū)^濾條件進(jìn)行修正，避免傳統(tǒng)分析方法出錯或需要修正時必須從頭開始而導(dǎo)致的思路不連貫和時間浪費(fèi)。最后，由于所有分析都是基于索引層面進(jìn)行，無論是進(jìn)行數(shù)據(jù)回溯還是回歸任意快照節(jié)點(diǎn)都可以快速完成，可極大地提高數(shù)據(jù)分析速度，從而實(shí)現(xiàn)100Gbps全流量數(shù)據(jù)實(shí)時分析篩選能力。

3.3 工業(yè)網(wǎng)絡(luò)動態(tài)映射關(guān)系圖譜

針對工業(yè)網(wǎng)絡(luò)流量數(shù)據(jù)特征，通過IP地址到國家、省份、經(jīng)緯度、運(yùn)營商等的映射，虛擬身份到真實(shí)人的映射，郵箱賬號映射到機(jī)構(gòu)、組織，再映射到人，幫助發(fā)現(xiàn)數(shù)據(jù)中隱藏的關(guān)系和模式。

首先，將工業(yè)網(wǎng)絡(luò)中的流量特征結(jié)果映射到知識圖譜中的節(jié)點(diǎn)和關(guān)系，以現(xiàn)實(shí)世界的網(wǎng)絡(luò)實(shí)體作為節(jié)點(diǎn)，以實(shí)體與實(shí)體間的模式（業(yè)務(wù)模式、通信模式）作為關(guān)系，面向所挖掘的“元數(shù)據(jù)，關(guān)聯(lián)關(guān)系”的模式集，以“網(wǎng)絡(luò)實(shí)體，模式，網(wǎng)絡(luò)實(shí)體”的向量化表達(dá)方式定義工業(yè)網(wǎng)絡(luò)知識圖譜中的知識表達(dá)方式，盡可能全面抽取所表征模式中可用屬性對“模式”的數(shù)據(jù)維度進(jìn)行定義，根據(jù)網(wǎng)絡(luò)實(shí)體間的連接關(guān)系構(gòu)建初始圖譜。其次，基于場景、業(yè)務(wù)的分析，采用特征選擇的方法對初始圖譜中的知識表示信息進(jìn)行維度的選擇，篩選冗余信息，能夠?yàn)榫W(wǎng)絡(luò)威脅檢測、定位和溯源提供有效的支撐，引入工業(yè)網(wǎng)絡(luò)的領(lǐng)域知識和網(wǎng)絡(luò)安全的威脅情報等知識，采用知識推理的方法進(jìn)行維度優(yōu)化，構(gòu)建關(guān)系圖譜模型。最后，由于網(wǎng)絡(luò)動態(tài)變化的特性，為了保證檢測模型的準(zhǔn)確率和魯棒性，采用圖更新的方法實(shí)現(xiàn)圖譜的動態(tài)更新。

3.4 工業(yè)網(wǎng)絡(luò)安全威脅智能檢測

針對工業(yè)網(wǎng)絡(luò)安全威脅，通過提取網(wǎng)絡(luò)流量在不同觀察尺度和變換層級下的多尺度特征刻畫分析，快速發(fā)現(xiàn)潛在的威脅和攻擊。

首先，提出基于元數(shù)據(jù)和關(guān)聯(lián)關(guān)系的模式匹配方法，從實(shí)時通信過程采集的數(shù)據(jù)中計(jì)算得到實(shí)時的“元數(shù)據(jù)-關(guān)系-元數(shù)據(jù)”結(jié)果，分別從元數(shù)據(jù)和關(guān)聯(lián)關(guān)系兩個角度對實(shí)時分析的數(shù)據(jù)與知識圖譜中存在的知識信息進(jìn)行匹配，判斷是已知運(yùn)行模式或是未知運(yùn)行模式，進(jìn)行異常檢測。

其次，采用滑動時間窗口機(jī)制，增加輸入數(shù)據(jù)（分層級表征結(jié)果）的時間跨度，在每個時間窗口內(nèi)，利用表征結(jié)果中的業(yè)務(wù)邏輯、通信行為層級上的關(guān)聯(lián)性，挖掘基于時序的相關(guān)行為序列；基于滑動時間窗口，在多個時間窗口引入證據(jù)累積思想，從時序角度融合不同時刻的系統(tǒng)運(yùn)行行為進(jìn)行累積和量化，構(gòu)建基于時間維度的證據(jù)累積模型，對其進(jìn)行刻畫及求解，形成較為完整的威脅檢測構(gòu)建模型。

最后，收集長時間累積的威脅檢測模型所輸出的異常行為模式序列并對其進(jìn)行表征，基于時間片對累積的異常行為模式序列進(jìn)行切分，形成多時間窗口的異常行為模式組，基于關(guān)聯(lián)分析方法對比分析多個時間片內(nèi)的異常行為模式組，挖掘其中的連續(xù)性事件進(jìn)行記錄，為網(wǎng)絡(luò)威脅預(yù)警提供分析數(shù)據(jù)。

4. 系統(tǒng)設(shè)計(jì)驗(yàn)證及應(yīng)用分析

面向重要基礎(chǔ)設(shè)施等目標(biāo)的工業(yè)網(wǎng)絡(luò)安全，針對具備互聯(lián)網(wǎng)訪問能力的辦公網(wǎng)、企業(yè)網(wǎng)等網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)安全威脅監(jiān)測與資產(chǎn)安全態(tài)勢感知等場景，以網(wǎng)關(guān)進(jìn)出口流量為處理對象，本文基于相關(guān)技術(shù)構(gòu)建工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺基礎(chǔ)框架，如圖2所示。提供自適應(yīng)能力的威脅發(fā)現(xiàn)能力，實(shí)現(xiàn)終端安全報警事件智能分類分級，協(xié)助網(wǎng)絡(luò)安全事件的快速處理。

（1）流量分析層。以協(xié)議解析和還原技術(shù)為核心，通過對內(nèi)部網(wǎng)關(guān)流量的接入與預(yù)處理、協(xié)議解析、協(xié)議還原、要素提取等技術(shù)手段，完成對網(wǎng)絡(luò)威脅流量的初篩、會話日志的提取、元數(shù)據(jù)的提取、樣本文件的還原，實(shí)現(xiàn)威脅監(jiān)測要素的采集，為威脅感知層提供威脅檢測樣本輸入。

（2）威脅感知層。以威脅情報檢測、特征行為檢測、文件沙箱檢測、終端安全檢測等被動感知手段，以及資產(chǎn)漏洞風(fēng)險探測、高交互式蜜罐檢測等主動感知手段為基礎(chǔ)，基于網(wǎng)絡(luò)威脅檢測模型，完成對流量分析層生成的網(wǎng)絡(luò)流量數(shù)據(jù)、會話日志、元數(shù)據(jù)、郵件、附件、原始還原數(shù)據(jù)等網(wǎng)絡(luò)流量大數(shù)據(jù)的多維度威脅檢測，為協(xié)同驅(qū)動層提供威脅檢測結(jié)果輸入。

（3）協(xié)同驅(qū)動層。首先，需要基于IP屬性知識庫、DNS知識庫等專家知識庫對多維度威脅感知結(jié)果進(jìn)行屬性標(biāo)注；然后，基于關(guān)系圖譜對多維度威脅檢測結(jié)果進(jìn)行融合分析，采用合理的關(guān)聯(lián)挖掘算法，實(shí)現(xiàn)與公開威脅情報和歷史威脅檢測結(jié)果的關(guān)聯(lián)回溯；最后，對威脅關(guān)聯(lián)結(jié)果進(jìn)行綜合研判，進(jìn)而完成網(wǎng)絡(luò)威脅事件的還原。

（4）用戶應(yīng)用層。用戶應(yīng)用層基于大數(shù)據(jù)聚合分析算法引擎，對威脅檢測結(jié)果和威脅事件還原結(jié)果進(jìn)行多維度的聚合分析與態(tài)勢展示，并實(shí)現(xiàn)對IP、域名、文件等網(wǎng)絡(luò)實(shí)體目標(biāo)的畫像刻畫功能。同時，向用戶展示各類威脅事件的監(jiān)測分析詳情和處置結(jié)果，以及用戶資產(chǎn)的安全與防護(hù)態(tài)勢。

（5）平臺運(yùn)維監(jiān)控體系。針對數(shù)據(jù)風(fēng)險、用戶風(fēng)險、應(yīng)用風(fēng)險和通道風(fēng)險，統(tǒng)籌考慮安全防護(hù)設(shè)計(jì)，提供統(tǒng)一登錄與授權(quán)、通信加密、應(yīng)用隔離與限制、數(shù)據(jù)加密等功能，使安全保護(hù)策略貫穿平臺系統(tǒng)各個層面和數(shù)據(jù)生命全周期。

（6）平臺管理保障體系。自動采集平臺內(nèi)部各系統(tǒng)的日志信息，以輸出到窗口、網(wǎng)絡(luò)、文件的方式為智能運(yùn)維分析提供集群管理、作業(yè)管理、服務(wù)管理和用戶管理等功能。

結(jié)語

本文詳細(xì)介紹了工業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及發(fā)展趨勢，并對工業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)和工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知技術(shù)與系統(tǒng)應(yīng)用驗(yàn)證進(jìn)行了詳細(xì)闡述，鑒于人工智能賦能網(wǎng)絡(luò)安全技術(shù)如今處于快速發(fā)展階段，本文的研究成果將有助于工業(yè)網(wǎng)絡(luò)安全系統(tǒng)的開發(fā)，為工業(yè)互聯(lián)網(wǎng)發(fā)展網(wǎng)絡(luò)安全應(yīng)用提供借鑒。

參考文獻(xiàn)：

[1]中華人民共和國網(wǎng)絡(luò)安全法.[EB/OL].（2016-11-07）[2024-07-20].https：//www.cac.gov.cn/2016-11/0 7/c_1119867116.htm.

[2]國家市場監(jiān)督管理總局，中國國家標(biāo)準(zhǔn)化管理委員會.信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求：GB/T 22239-2019[S/OL].北京：中國標(biāo)準(zhǔn)出版社，2019[2019-05-10].https：//openstd.samr.gov.cn/bzgk/gb/newGbInfo？hcno=BAFB47E8874764186BDB7865E8344DAF.

[3]關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（國令第745號）[A/OL].（2021-08-17）[2024-06-28].https：//www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm.

[4]胡璇，李煒玥，冷昊，等.美軍網(wǎng)絡(luò)安全技術(shù)研究現(xiàn)狀及發(fā)展趨勢[J].電子產(chǎn)品可靠性與環(huán)境試驗(yàn)，2022，40（6）：96-104.

[5]中央網(wǎng)絡(luò)安全和信息化委員會.“十四五”國家信息化規(guī)劃[EB/OL].（2021-12-27）[2024-06-28].https：//www.cac.gov.cn/2021-12/27/c_1642205314518676.htm.

作者簡介：王奇，本科，研究方向：電子信息技術(shù)；孫宏，本科，研究方向：網(wǎng)絡(luò)安全技術(shù)；李杜，碩士研究生，研究方向：電子信息技術(shù)。